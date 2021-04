Das Luca-System zur Datenbereitstellung für mögliche Kontaktpersonennachverfolgung steht massiv in der Kritik. Die Entwickler reagierten am Freitag mit einer Stellungnahme.

Die Luca-App kommt in immer mehr Regionen Deutschlands als Maßnahme zur Bekämpfung der Corona-Pandemie zum Einsatz. Auch in der Stadt Augsburg sowie im angrenzenden Landkreis Augsburg setzen Geschäfte zur Verfolgung von Infektionsketten mittlerweile auf das Luca-System. Der Vorteil für Betriebe liegt auf der Hand: Die bisher handschriftlich erfolgte Kontaktdatenerfassung wird obsolet, der analogen Zettelwirtschaft ein Ende gesetzt.

Hinter dem Siegeszug des Luca-Systems verbirgt sich in erster Linie ein rechtlicher Grund. Die Bundesländer verlangen von Geschäften und Einrichtungen wie Theatern, Restaurants und Bars die Erfassung der Kontaktdaten ihrer Gäste. Laut der bayerischen Verordnung müssen neben dem Aufenthaltszeitraum konkret Name, Vorname, Telefonnummer, E-Mail-Adresse oder Anschrift erfasst werden. Eine Forderung, welche der Einsatz der Corona-Warn-App des Bundes trotz der neuen QR-Code-Funktion aus Datenschutzgründen nicht erfüllt.

Der Chaos Computer Club forderte kürzlich den Stopp von Steuermitteln für die Luca-App

Im Gegensatz zu der anonymisierten Corona-Warn-App des Bundes erfasst das Luca-System beim Scannen entsprechender QR-Codes auf dem Smartphone oder dem Schlüsselanhänger personenbezogene Daten der Kundschaft. Tritt ein Infektionsfall auf, kann das Gesundheitsamt diese verschlüsselten Daten beim jeweiligen Betrieb anfordern, um die betroffenen Kontaktpersonen zu informieren und gegebenenfalls in Quarantäne zu schicken.

Vor zwei Wochen hatte die Hackervereinigung Chaos Computer Club (CCC) in einer Stellungnahme Sicherheitsbedenken geäußert und gefordert, keine Steuermittel mehr für die App zur Corona-Kontaktnachverfolgung auszugeben. Die Luca-App, für die unter anderem Hip-Hop-Sänger Smudo von den "Fantastischen Vier" geworben hatte, wird in Mecklenburg-Vorpommern, Berlin, Brandenburg, Niedersachsen, Hessen, Rheinland-Pfalz, Baden-Württemberg, Schleswig-Holstein, Saarland, Bayern, Sachsen-Anhalt und Hamburg aus Steuermitteln finanziert. Die eingesetzten Mittel summieren sich nach Recherchen des Portals Netzpolitik.org auf insgesamt 20 Millionen Euro. Dieses Geld wird für die Entwicklung der App, die Anbindung der Gesundheitsämter sowie den SMS-Service zur Validierung der Telefonnummern der Anwender verwendet.

Immer mehr Kreise führen die Luca-App ein. Doch auch die Kritik an der Datensicherheit wächst. Foto: Thomas Frey, dpa (Symbolbild)

Ein Kritikpunkt des CCC: "Das zentralisierte Luca-System speichert alle Daten bei den Betreibern und ermöglicht dadurch ein Monitoring sämtlicher Check-in-Vorgänge in Echtzeit." Die Entwickler der App wiesen den Vorwurf zurück. Firmenchef Patrick Hennig erklärte dazu: "Aus unserer Sicht ist das Fundamentalkritik an zentralen Datenspeicherungssystemen, die im übrigen aber an vielen Stellen des gesellschaftlichen Lebens wie bei Telekommunikationsanbietern, Kreditkartenunternehmen und auch im Gesundheitswesen vielerorts zum Einsatz kommen." Entsprechend müssten diese Systeme gegen Missbrauch abgesichert werden. Dies sei beim Luca-System der Fall.

Luca-App: IT-Sicherheitsforschende bemängeln zentralen Datenspeicher

Nun haben 77 deutsche IT-Sicherheitsforscherinnen und -forscher als Erstunterzeichnende in einer gemeinsame Stellungnahme zur digitalen Kontaktnachverfolgung in dieselbe Kerbe wie der CCC geschlagen. Sie bemängeln, dass die mit dem Luca-System verbundenen Risiken viel höher seien als der zu erwartende Nutzen und warnen angesichts der umfassende Datensammlung an einer zentralen Stelle vor einem massiven Missbrauchspotential und dem Risiko gravierender Datenleaks.

"Einzelne Systeme, die als zentrale Datenspeicher fungieren, sind attraktive und kaum vor Angriffen zu schützende Ziele." Selbst große Unternehmen seien nicht in der Lage, solche Systeme vollständig zu sichern. "Es ist nicht zu erwarten, dass dies einem Start-up, das bereits durch zahlreiche konzeptionelle Sicherheitslücken, Datenleaks und fehlendes Verständnis von fundamentalen Sicherheitsprinzipien aufgefallen ist, besser gelingen sollte."

Vor etwa einem Jahr hatten mehr als 600 internationale Wissenschaftlerinnen und Wissenschaftler vier grundlegende Prinzipien für die Entwicklung von digitalen Hilfsmitteln zur Kontaktnachverfolgung festgelegt: Zweckbindung, Offenheit und Transparenz, Freiwilligkeit sowie Risikoabwägung. Das Luca-System erfülle keine dieser Prinzipien, urteilen die deutschen IT-Sicherheitsforschenden in ihrer aktuellen Stellungnahme.

Am Freitag reagierte Patrick Hennig gegenüber der Deutschen Presse-Agentur auf diese neuerliche Kritik. Das Luca-System sei sicher und transparent und werde auch niemandem aufgezwungen, so der Geschäftsführer der Culture4Life GmbH, die das Luca-System betreibt. Wie der Internetseite der Entwickler zu entnehmen ist, soll das Luca-System bis Anfang Mai in etwa 300 der bundesweit 375 Gesundheitsämter eingeführt werden. Weiter heißt es dort, das Luca-System werde im Zuge der Implementierung in den Gesundheitsämtern kontinuierlich weiterentwickelt und verbessert. Mitte April hatten die Entwickler den Quellcode ihres Systems zur Corona-Kontaktverfolgung vollständig unter einer Open-Source-Lizenz auf der Plattform GitLab veröffentlicht, um für Vertrauen zu werben. (mit dpa)

Lesen Sie dazu auch:

Wir wollen wissen, was Sie denken: Die Augsburger Allgemeine arbeitet daher mit dem Meinungsforschungsinstitut Civey zusammen. Was es mit den repräsentativen Umfragen auf sich hat und warum Sie sich registrieren sollten, lesen Sie hier.